百度指數 Cipher-Text、百度翻譯 Acs-Token 逆向分析

K 哥之前寫過一篇關于百度翻譯逆向的文章，也在 bilibili 上出過相應的視頻，最近在 K 哥爬蟲交流群中有群友提出，百度翻譯新增了一個請求頭引數 Acs-Token，如果不攜帶該引數，直接按照以前的方法進行處理，會出現 1022 報錯，并且如果直接將 Acs-Token 寫成定值，前幾次可能能成功，多查詢幾次也會報同樣的錯誤，現對其進行逆向分析，對往期代碼進行重構，與此同時，K哥發現百度指數的某些介面有個 Cipher-Text 引數，與百度翻譯的 Acs-Token 加密方式差不多，所以就一起分析一波，

宣告

本文章中所有內容僅供學習交流使用，不用于其他任何目的，不提供完整代碼，抓包內容、敏感網址、資料介面等均已做脫敏處理，嚴禁用于商業用途和非法用途，否則由此產生的一切后果均與作者無關！

本文章未經許可禁止轉載，禁止任何修改后二次傳播，擅自使用本文講解的技術而導致的任何意外，作者均不負責，若有侵權，請在公眾號【K哥爬蟲】聯系作者立即洗掉！

逆向目標

• 目標：百度翻譯最新請求頭引數 Acs-Token，百度指數請求頭 Cipher-Text
• 主頁：https://fanyi.baidu.com/
• 介面：https://fanyi.baidu.com/v2transapi
• sign、token 引數的逆向方法本文不再贅述，想了解的可以閱讀 K 哥往期百度翻譯逆向的文章

逆向程序

抓包分析

先以百度翻譯為例，隨便輸入文字，可以看到沒有重繪頁面，翻譯結果就出來了，由此可以推斷是 Ajax 加載的，打開開發者工具，選擇 XHR 過濾 Ajax 請求，找到介面位置，詳細分析推薦閱讀 K 哥往期百度翻譯逆向的文章，如下圖可以看到在請求頭中新增了一個 Acs-Token 引數，前面兩串數字看起來像時間戳，具體加密方式需要我們來進一步分析：

這里使用 Fiddler 插件 hook 定位 Acs-Token 引數，相關 hook 操作方式可閱讀 K 哥往期文章，本文不再贅述：

(function () {
    var org = window.XMLHttpRequest.prototype.setRequestHeader;
    window.XMLHttpRequest.prototype.setRequestHeader = function (key, value) {
        console.log(key, ':', value)
        if (key == 'Acs-Token') {
            debugger;
        }
        return org.apply(this, arguments);
    };
})();

清除快取，點擊翻譯，可以看到成功 hook 到 Acs-Token 引數，往下跟堆疊即可找到其值生成的位置：

逆向分析

向下跟堆疊分析，Acs-Token 引數的值在 translate.js 檔案的第 187 行生成，由 sign 引數傳遞，sign 引數定義在第 180 行，在第 195 行打下斷點除錯，點擊翻譯后成功在斷點處斷下：

跟進 getAcsSign() 函式，整體選中，點擊進入到 paris.js 檔案中，可以看到函式體中創建了一個異步 Promise 物件進行異步操作：

Promise 的建構式接收一個函式引數，并且這個函式需要傳入兩個引數：

• resolve：異步操作執行成功后的回呼函式；
• reject：異步操作執行失敗后的回呼函式，

所以異步操作執行成功即回傳 sign 引數的值：

到這里已經拿到 sign 了，我們再向上跟堆疊，可以發現 Acs-Token 引數的值在 acs-2060.js 檔案的第 805 行生成，很明顯是拼接而成的：

上圖是幾天前分析的時候斷下的情況，今天再次分析的時候發現結構變了，如下圖所示：

這個 acs-2060.js 是咋來的呢？在 paris.js 里其實可以看到 init 初始化了了一些組態檔，其中的 acsUrl 就是 acs-2060.js 的地址，2060 是渠道號，由管理員分配，根據注釋可以看到這個東西叫做“玉門關”，

繼續前面的步驟，分析一下 acs-2060.js，在第 805 行打斷點除錯，分析 a8() 中各拼接部分含義，可得到如下結果：

• b('0x78') 或者 '\x31\x36\x36\x30\x35\x34\x36\x38\x30\x39\x35\x30\x35\x5f'：固定字串 1660287615129_ 或者 1660546809505_，這里每隔一段時間都會變化，具體的變化周期得需要持續觀察一下才知道，
• ae：當前時間戳
• '\x5f'：下劃線 _
• eg(a2, a0, a1)：一大串加密字串，在控制臺輸出可以知道 a2, a0, a1 各自的含義

a0，a1 為定值，分析 a2 字典中各引數值含義：

• ua：瀏覽器型別
• url：翻譯鏈接，例如輸如 spider，url 即為 https://fanyi.baidu.com/#zh/en/spider
• platform：平臺作業系統版本
• clientTs：當前時間戳
• version：版本號

選中 eg，跟進到 eg 函式定義的位置，在 acs-2060.js 檔案的第 537 行：

具體內容如下：

function eg(a2, a8, a9) {
    return a2 = b('0x4d') == typeof a2 ? JSON[b('0xc')](a2) : void 0x0 === a2 ? '' : '' + a2,
        dD[b('0x37')](a2, ad[b('0x29')](a8), {
        '\x69\x76': ad[b('0x29')](a9),
        '\x6d\x6f\x64\x65': cc,
        '\x70\x61\x64\x64\x69\x6e\x67': cz
    })[b('0x27')][b('0xa')](ag);
}

可以在第 538 行打斷點進行除錯，亦可從控制臺直接列印混淆部分內容，會發現三個經典加密引數：

• '\x69\x76'：iv，偏移量
• '\x6d\x6f\x64\x65'：mode，加密方式
• '\x70\x61\x64\x64\x69\x6e\x67'：padding，填充方式

并且在第 548 行將 eg 賦值給了 window.aes_encrypt，很明顯 AES 加密了，可以選擇直接引庫，也可以直接扣代碼，這里不做繼續研究:

百度指數 Cipher-Text

百度指數的 Cipher-Text 和百度翻譯的 Acs-Token 在結構上是一樣的，根據百度翻譯的經驗，我們知道核心加密代碼應該在“玉門關”里面，不同的站分配的渠道號不一樣，我們直接全域搜索 acsUrl，或者直接找 acs 開頭的 JS，會發現有一個 acs-2057.js：

老樣子，在 a8() 處下斷，重繪介面，即可斷下：

百度指數與百度翻譯不一樣的地方在于開頭的那個時間戳不一樣，變數 a0 不一樣，其他的邏輯都是一樣的，我們注意到開頭的時間戳隔一段時間就會改變，如果在專案代碼中應用，人工定時去改肯定是不合理的，這里的處理思路可以是先在本地固定一套演算法，然后每次請求先去拿 acs 開頭的那個 JS，拿到內容后，通過正則匹配去拿到那個時間戳，再傳到本地的演算法里生成最終值，靈活處理即可，

至此，Cipher-Text 和 Acs-Token 就分析結束了，本次逆向的加密演算法其實并不難，但是想要找到加密位置需要一定的技巧，另外在寫這篇文章時，發現百度翻譯不加 Acs-Token 請求又可以了，目前的狀況是有時候不加可以請求，有時候不加又不能請求，如果你請求發現報錯 {"errno":1022,"errmsg":"訪問出現例外，請重繪后重試！","error":1022,"errShowMsg":"訪問出現例外，請重繪后重試！"}，那就可以嘗試加上這個引數，

完整代碼

bilibili 關注 K 哥爬蟲，小助理手把手視頻教學：https://space.bilibili.com/1622879192

GitHub 關注 K 哥爬蟲，持續分享爬蟲相關代碼！歡迎 star ！https://github.com/kgepachong/

以下只演示部分關鍵代碼，不能直接運行！

baidufanyi_encrypt.js

var window =  global;

// 以下部分內容過長，此處省略
// 完整代碼關注 GitHub：https://github.com/kgepachong/crawler
(function(){...
})()
function ascToken(translate_url){
    // 部分引數直接寫死了，不同網站引數值不同，如果在專案中使用，請靈活處理
    var a0 = 'uyaqcsmsseqyosiy';
    var a1 = '1234567887654321';
    var ae = (new Date).getTime();
    var a2 = '{"ua":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36","url":' + translate_url + '","platform":"Win32","clientTs":' + ae + ',"version":"2.2.0"}';
    // 這里開頭的時間戳寫死了，如果請求失敗請更新這個值
    return '1660546809505_' + ae + '_' + window.aes_encrypt(a2, a0, a1);
}

// console.log(ascToken("https://fanyi.baidu.com/#zh/en/%E6%B5%8B%E8%AF%95"))

baidufanyi.py

# ==================================
# --*-- coding: utf-8 --*--
# @Time    : 2021-08-12
# @Author  : 微信公眾號：K哥爬蟲
# @FileName: baidufanyi.py
# @Software: PyCharm
# ==================================


import re
import execjs
import requests
from urllib import parse


session = requests.session()
index_url = 'https://fanyi.baidu.com/'
lang_url = 'https://fanyi.baidu.com/langdetect'
translate_api = 'https://fanyi.baidu.com/v2transapi'
headers = {
    'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36',
}
# cookies = {
#     "BAIDUID": "624363427DBD2BFCDF0C3D6E129F5C65:FG=1"
# }


def get_params(query):
    # 獲取 token 和 gtk
    session.get(url=index_url, headers=headers)
    # print(session.cookies.get_dict())
    response_index = session.get(url=index_url, headers=headers)
    token = re.findall(r"token: '([0-9a-z]+)'", response_index.text)[0]
    gtk = re.findall(r'gtk = "(.*?)"', response_index.text)[0]
    # 自動檢測語言
    response_lang = session.post(url=lang_url, headers=headers, data=https://www.cnblogs.com/ikdl/p/{'query': query})
    lang = response_lang.json()['lan']
    return token, gtk, lang


def get_sign_and_token(query, gtk, lang):
    with open('baidufanyi_encrypt.js', 'r', encoding='utf-8') as f:
        baidu_js = f.read()
    sign = execjs.compile(baidu_js).call('e', query, gtk)
    translate_url = 'https://fanyi.baidu.com/#%s/en/%s' % (lang, parse.quote(query))
    acs_token = execjs.compile(baidu_js).call('ascToken', translate_url)
    return sign, acs_token


def get_result(query, lang, sign, token, acs_token):
    data = https://www.cnblogs.com/ikdl/p/{'from': lang,
        'to': 'en',
        'query': query,
        'transtype': 'realtime',
        'simple_means_flag': '3',
        'sign': sign,
        'token': token,
    }
    headers["Acs-Token"] = acs_token
    response = session.post(url=translate_api, headers=headers, data=https://www.cnblogs.com/ikdl/p/data)
    result = response.json()['trans_result']['data'][0]['dst']
    return result


def main():
    query = input('請輸入要翻譯的文字：')
    token, gtk, lang = get_params(query)
    sign, acs_token = get_sign_and_token(query, gtk, lang)
    result = get_result(query, lang, sign, token, acs_token)
    print('翻譯成英文的結果為：', result)


if __name__ == '__main__':
    main()

標籤：Python

上一篇：Pytest框架 — 10、Pytest的標記（一）

下一篇：python獲取物件屬性的幾種方法